NAC认证逻辑流程

在用户进行802.1X认证的过程中，接入设备的处理逻辑如图2-45所示，此处以RADIUS认证方式为例进行说明。

1. 当设备主动向客户端请求用户名并且客户端无响应时，如果配置了802.1X客户端无响应的授权，则用户获取相应权限。否则，根据用户是否配置了预连接授权进行处理。
2. 当客户端主动发起认证，或客户端响应设备的认证请求时，如果RADIUS状态正常，用户认证成功授与完整权限，如果用户认证失败，则依次检查认证失败授权和预连接授权，并获取相应权限。
3. 当RADIUS服务器Down时，依次检查认证服务器Down时的网络访问权限，用户在认证失败时的网络访问权限，用户在预连接阶段的网络访问权限，按是否配置相应权限处理。
4. 如果配置了重认证，则按照重认证的触发机制对相应状态用户进行重认证。
5. 当用户认证成功后，重认证失败时，如果认证服务器Down，则依次检查认证服务器Down时的保持原有网络访问权限，认证服务器Down时的网络访问权限，用户在认证失败时的网络访问权限，用户在预连接阶段的网络访问权限，按是否配置相应权限处理。如果认证服务器Up但无响应时，则依次检查认证服务器无响应时保持原有网络访问权限，用户在认证失败时的网络访问权限，用户在预连接阶段的网络访问权限，按是否配置相应权限处理。

无线802.1X用户仅支持服务器Down时保持原有的网络访问权限、服务器无响应时保持原有的网络访问权限。

图2-45 802.1X认证设备处理逻辑

在用户进行MAC认证的过程中，接入设备的处理逻辑如图2-46所示，此处以RADIUS认证方式为例进行说明。

1. 接入设备检测到新的MAC地址后，即触发对其进行MAC认证。
2. 接入设备向RADIUS服务器发送RADIUS认证请求报文对该终端进行MAC认证（详见RADIUS服务器选择机制和MAC认证流程）。
   1. 如果MAC认证成功，则用户上线。
   2. 如果MAC认证失败，且RADIUS服务器状态为Down（详见RADIUS服务器状态探测），设备依次检查其是否配置RADIUS服务器Down时对用户进行授权、是否配置对认证失败用户进行授权以及是否配置对预连接用户进行授权（详见NAC逃生机制），如果有，则终端获取相应权限；否则终端无任何网络访问权限。
   3. 如果MAC认证失败，且RADIUS服务器状态为Up，设备依次检查是否配置对认证失败用户进行授权以及是否配置对预连接用户进行授权，如果有，则终端获取相应权限；否则终端无任何网络访问权限。
3. 对于异常认证状态下的用户，设备能够配置对其进行重认证，使其尽快获取正常的网络访问权限；对于MAC认证成功的用户，对其进行重认证也能保证终端的合法性（详见MAC认证重认证）。
4. 当用户认证成功后，重认证失败时，如果认证服务器Down，则依次检查认证服务器Down时的保持原有网络访问权限，认证服务器Down时的网络访问权限，用户在认证失败时的网络访问权限，用户在预连接阶段的网络访问权限，按是否配置相应权限处理。如果认证服务器Up但无响应时，则依次检查认证服务器无响应时保持原有网络访问权限，用户在认证失败时的网络访问权限，用户在预连接阶段的网络访问权限，按是否配置相应权限处理。

图2-46 接入设备的处理逻辑

在用户进行Portal认证的过程中，接入设备的处理逻辑如图2-47所示，此处以RADIUS认证方式为例进行说明。

1. 用户访问网络时，如果配置了预连接授权，则用户获取相应权限，用户访问权限之外的资源时，触发用户重定向到Portal认证网站；如果未配置预连接授权，则触发用户重定向到Portal认证网站。
2. 用户访问Portal认证网站，如果Portal服务器正常，则接入设备与RADIUS服务器进行Portal认证。如果Portal服务器Down，则检查Portal服务器Down时的网络访问权限，按是否配置相应权限处理，当配置了Portal服务器状由Down转变为Up时对用户进行重认证，按照重认证的触发机制对相应状态用户进行重认证。
3. Portal认证时，如果RADIUS服务器状态正常，则用户认证成功授与完整权限，如果用户认证失败，则依次检查认证失败授权和预连接授权，并获取相应权限。如果RADIUS服务器Down，则依次检查认证服务器Down时的网络访问权限、用户在认证失败时的网络访问权限、用户在预连接阶段的网络访问权限，按是否配置相应权限处理。

图2-47 设备的处理逻辑

开启预连接功能后，用户接入网络，在认证成功前和认证失败后处于预连接状态，可以通过配置预连接授权让用户具有一定的网络访问权限，如果未配置预连接授权，则用户无任何访问权限。

客户端接入前，不妨假设接入设备上没有该用户的任何表项。因为对于已建立用户表的用户，当ARP探测检查到用户离开，或者物理链路Down超过T秒，用户表会被接入设备删除。如果客户端接入时，接入设备上有该用户的未老化表项，则不会输出预连接日志。如果用户首次认证时就失败，则用户将一直处于预连接状态，直至下线，这种情况较为简单，此处只考虑重认证失败进入预连接的情况。

当客户端与设备直连时，如果客户端关机，则客户端接口与接入设备接口都会Down。当客户端通过IP话机与接入设备相连时，客户端关机后，接入设备的接口由于与IP话机相连，不会Down。这两种场景下，预连接日志输出有所差异，下面分两种场景介绍一下预连接日志的输出。假设接口链路故障时，用户延时下线的时间间隔为T秒，且用户ARP探测在T秒内结束。

客户端与接入设备直连

图2-48 客户端与接入设备直连

1. 用户开机，发送任意报文到接入设备，建立预连接，输出预连接日志。
2. 用户进行802.1X认证，认证成功后，输出认证成功日志。
3. 用户认证成功后，周期性重认证，每次重认证成功输出认证成功日志。
4. 用户关机后，端口Down，设备侧端口Down会延迟T秒。如果用户的第N+1次重认证恰好在端口Down延迟的T秒内，则用户认证失败并输出预连接日志。否则，端口Down后不会进行第N+1次重认证。
5. 在设备ARP探测失败后，用户下线。

客户端与接入设备非直连

图2-49 客户端与接入设备非直连

1. 用户开机，发送任意报文到接入设备，建立预连接，输出预连接日志。
2. 用户进行802.1X认证，认证成功后，输出认证成功日志。
3. 用户认证成功后，周期性重认证，每次重认证成功输出认证成功日志。
4. 用户关机后，由于客户端与IP话机相连，接入设备侧接口正常发送报文。如果用户的第N+1次重认证在ARP探测失败前，则用户认证失败并输出预连接日志。否则，ARP探测失败后用户下线，不会进行第N+1次重认证。
5. 在设备ARP探测失败后，用户下线。